Gefährdungsanalyse

zunächst in § 25a I 3 Nr. 6 KWG, heute in § 25c KWG vorgesehener Teil des Risikomanagements, das Institute i.S. des KWG im Hinblick auf die Vorschriften über Geldwäsche, Terrorismusfinanzierung und "sonstige strafbare Handlungen" einrichten müssen; dabei ist eine Integration dieser drei Bereiche samt vergleichbaren Präventionsmaßnahmen erforderlich. Die Gefährdungsanalyse erfasst neben kunden-, produkt- und transaktionsbezogenen Risiken (know your business-Prinzip, know your customer-Prinzip) weitere Risiken, wie Länder- und Vertriebsweg- sowie "sonstige" Risiken, wozu insbes. Mitarbeiterrisiken gehören (know your employee-Prinzip). Zu bewerten sind Schadenseintrittswahrscheinlichkeit und potenzielle Schadenshöhe, wenn sich ein Risiko verwirklicht. Eine Gefährdungsanalyse muss vor allem zweifelhafte oder ungewöhnliche Geschäftsbeziehungen oder Transaktionen erfassen; insofern müssen zur Risikoerkennung i.d.R. angemessene IT-Systeme betrieben und aktualisiert werden (§ 25c II KWG). Im Ergebnis einer Gefährdungsanalyse gelten ggf. Anzeige- und Dokumentationspflichten nach § 25c III KWG. Die Gefährdungsanalyse obliegt, sofern sie nicht wirksam an Dritte ausgelagert wurde (outsourcing), der zentralen Stelle nach § 25c IX KWG. Die Gefährdungsanalyse unterliegt jährlich der Kontrolle durch Wirtschaftsprüfer und findet so Eingang in den Jahresabschlussprüfungs-Bericht eines Instituts.